Une donnée à caractère personnel ou DCP (couramment « données personnelles ») correspond en droit français à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification de cette personne physique ou bien à un ou plusieurs éléments qui sont propres à cette personne[1]. En Europe, les données ayant été l'objet d'un procédé d'anonymisation ne sont plus considérées comme des données à caractère personnel.
En France, la loi énonce que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».
Le règlement européen RGPD a été adapté en droit interne par la loi du 20 juin 2018 relative à la protection des données personnelles[2]. Par ailleurs, cette loi donne à la CNIL des missions supplémentaires et un pouvoir de contrôle et de sanction accru en matière de protection des données[3].
Définition
Dans les textes
Les définitions retenues dans les différents textes fondant le droit de la protection des données à caractère personnel ne divergent pas fondamentalement mais offrent un niveau de détail variable.
Droit de l'Union européenne
L'article 4 du RGPD définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Cette définition est légèrement plus approfondie que celle qui figurait à l'article 2 de la directive 95/46/CE, laquelle précisait que la personne devenait identifiable « notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale »[4].
Droit français
La loi informatique et libertés ne formulant pas de définition de la donnée à caractère personnelle, celle de l'article 4 du RGPD s'applique.
Selon l'article 2 de la loi informatique et libertés en vigueur jusqu'au 25 mai 2018, une donnée à caractère personnelle était définie comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». Elle ajoutait que « pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Lors de la transposition, le législateur français n'a pas repris exactement les termes de la directive de 1995, laquelle ajoute dans son considérant 26 que « pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ».
La loi informatique et libertés originale du 6 janvier 1978[1]référait plutôt aux « informations nominatives », celles donnant « une définition du profil ou de la personnalité de l'intéressé » (article 2), et « qui permettent sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent » (article 4).
Droit extra-communautaire
La Convention 108 du Conseil de l'Europe définit les données à caractère personnel en son article 2 comme « toute information concernant une personne physique identifiée ou identifiable ».
Étendue de la notion de donnée à caractère personnel
La notion de donnée à caractère personnel fait l'objet d'une définition ample, et est appliquée de manière large par les juridictions et les autorités nationales[5].
Exemples de données à caractère personnel
Sont considérées comme des données à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement à l'aide d'un ou plusieurs identifiants. Ces identifiants peuvent être des informations directement nominatives telles que le nom, le prénom, la photographie du visage, mais aussi indirectement nominatives, telles que la date et le lieu de naissance, l'adresse du domicile, l'adresse électronique, le pseudonyme, un numéro de référence, un code de pseudo anonymisation ou le numéro de téléphone, qui peuvent être reliées à la personne par recoupement d'informations. Une adresse IP est également considérée comme une donnée à caractère personnel, qu'elle soit fixe ou dynamique[6] car elle peut être utilisée, sans connaître le nom réel de l'individu , pour tracer ses comportements sur internet, construire des "profils" détaillés et ainsi envoyer des publicités personnalisées basées sur ses habitudes de navigation et son historique d'achat.
Ces données peuvent être objectives, comme le groupe sanguin, le numéro de sécurité sociale ou de carte bancaire, ou subjectives, comme des avis ou des appréciations (dans les « zones bloc-note » des logiciels de gestion client, par exemple) sur la personne concernée, lesquels n'ont même pas besoin d'être vrais.
Les données n'ont pas à être structurées ni même contenues dans une base de données pour être à caractère personnel. Elles ne doivent pas non plus être nécessairement exploitables par celui qui les a en sa possession.
De même, le format est indifférent : il peut s'agir d'images (photographies, tableau, dessins), de vidéos (enregistrements de vidéosurveillance), de sons (échantillons de la voix), d'une partie du corps (empreinte digitale, rétinienne ou veineuse).
En revanche, une donnée à caractère personnel ne peut concerner qu'une personne physique, les informations relatives aux personnes morales n'entrant pas dans le cadre de la réglementation sur les données personnelles. Pour autant, des fichiers tels que le registre du commerce et des sociétés contiennent de nombreuses données à caractère personnel, parmi lesquelles les informations relatives aux dirigeants, sur ce point entre autres il est à noter que la réglementation sur les données personnelles doit être considérée conjointement avec d'autres réglementations qui peuvent limiter certains droits tels que le droit à la suppression ou à l'accès des données personnelles.
Les données des dossiers passagers (ou PNR, de l'anglais Passenger Name Record) sont des données personnelles concernant tous les détails d'un voyage pour des passagers voyageant ensemble. La CNIL, et ses homologues européens réunis au sein du G29, considèrent que l'échange de ces données entre États ainsi que l'utilisation qui en est faite soulèvent un certain nombre de problèmes quant au respect de la vie privée, particulièrement avec les États-Unis dont la législation protège moins bien ces données que ne le fait la législation de l'Union européenne. Dans son avis concernant la décision-cadre du Conseil européen de novembre 2007, qui reprenait maintes dispositions de l'accord entre l'UE et les États-Unis de juillet 2007 sur l'échange des données PNR, le G29 déclarait : « Un régime PNR européen ne saurait aboutir à la surveillance généralisée de tous les passagers »[7]. En avril 2012, le Parlement européen a donné son aval au stockage d’informations sur les passagers aériens européens par les autorités américaines[8]. En avril 2016, le Parlement Européen a adopté la Directive sur les données des dossiers passagers de l'UE[9].
Jean-Baptiste Brunet, directeur du Centre européen de surveillance du sida[15] soutient aussi cette idée, à l'inverse du Conseil national du sida qui souligne les « risques d'atteinte aux libertés individuelles » ainsi que la moindre efficacité de « mesures obligatoires qui ne sont pas directement dans l'intérêt des malades » « l'obligation supposerait un dispositif automatique, un système illusoire de sanctions en cas de non-respect de la réglementation, voire un aménagement législatif du code de santé publique »[15].
En mai 1999, un décret impose la déclaration obligatoire du SIDA dans le cadre de la loi de 1998 sur la veille sanitaire[17]. Un autre décret, du , inquiète les associations de lutte contre le SIDA à l'été 1999, car incluant possiblement des données nominatives dans le traitement automatisé mis en œuvre par l'Institut de veille sanitaire, avec un risque de discrimination. Le ministre annonce alors que ce décret sera modifié, et la CNIL diffèrera en septembre 2009 la mise en œuvre par l'institut de veille sanitaire du traitement automatisé[18].
La biométrie « désigne une technologie d'identification qui consiste à transformer une caractéristique morphologique ou comportementale en une empreinte numérique. Son objectif est d'attester l'unicité d'une personne à partir de la mesure d'une partie inchangeable et immaîtrisable de son corps »[19]. Le règlement 2016/679 les définit comme « les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (article 4 (14)).
Pour être employées, les caractéristiques en question doivent répondre à certaines exigences cumulatives : elles doivent être uniques, universelles, permanentes et mesurables[20]. Les caractéristiques du corps susceptibles d'être employées par un dispositif d'identification ou d'authentification biométriques sont notamment l'empreinte digitale, le contour de la main, l'analyse de la rétine, de l'iris, du réseau veineux du doigt, de la main ou du visage, la géométrie faciale, jusqu'à l'ADN. Toutes les données biométriques extraites de ces caractéristiques lors de l'enrôlement sont des données à caractère personnel.
Les données biométriques font l'objet d'un régime spécifique en droit français depuis la loi no 2004-801 du 6 août 2004, qui figure à l'article 25 de la loi informatique et libertés, lequel soumet leur traitement à une autorisation préalable de la CNIL. Le règlement général sur la protection des données personnelles les qualifie de « catégories particulières de données à caractère personnel » (article 9 (1)), dont le traitement est, en principe, interdit.
Dénominations impropres
Les données à caractère personnel sont parfois improprement nommées « données sensibles », par opposition aux données non identifiantes, ce qui entretient une confusion avec les « catégories particulières de données à caractère personnel » couramment nommées « données sensibles ». Il s'agit alors des données personnelles « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (article 8 de la loi informatique et libertés modifiée). Le Règlement y ajoute les « données génétiques » et les « données biométriques aux fins d'identifier une personne physique de manière unique » (article 9).
Une autre appellation impropre est celle de « données privées », notamment parce que les données à caractère personnel peuvent très bien être rendues publiques sans pour autant perdre la protection assurée par le droit. Cela dit il faut clairement séparer (ce qui n'est pas aussi clair dans les pays Anglo Saxons ou il y a utilisation analogue de Personal Data Protection & Privacy) la protection des données Personnelles et le respect de la Vie Privée car ce dernier est un concept plus étendu mais néanmoins connexe. En effet la collecte, l'utilisation et le traitement des Données Personnelles peuvent gravement affecter la réputation, l'image, la vie privée, affective et sociale ou la psychologie d'une personne.
En revanche, l'appellation abrégée « données personnelles » est d'usage courant et communément admise.
Vie privée, données publiques
Nos sociétés assistent, avec Internet et les médias sociaux, à un élargissement de notre vision de la vie privée. Nous partageons tous les jours de nombreuses informations et données, parfois consciemment sur nos profils Facebook, Instagram ou Twitter, parfois involontairement par notre traces laissées par l'acceptation de cookies de certains sites. En publiant et partageant des informations sur nos profils numériques, on accepte de partager l'appartenance de ces données à notre réseau d'abord (amis, followers…), à la plateforme ensuite et à toutes les personnes ayant accès à ces profils. Ces informations, même partagées avec le monde entier, restent des données personnelles. Ces nouvelles formes de dévoilement stratégique d'informations personnelles à des fins de gestion du capital social en ligne n'est en rien une renonciation à la privacy; notre besoin de protéger notre intimité existe toujours[21]. Il existe de multiples motivations de la révélation de soi sur les réseaux sociaux. En fonction du réseau social observé, plusieurs façons de gérer son capital social apparaissent. Tous permettent un ajustement de la présentation en ligne de l'utilisateur, certains permettent la mise en commun de détails sélectionnés à différentes sphères plus ou moins intimes. Selon le sociologue Antonio Casilli, sur les médias sociaux, la notion de capital social désigne « l'acquisition, via des relations médiatisées pas les TIC, de ressources matérielles, informationnelles ou émotionnelles »[21]. Ce dévoilement et cette gestion du capital social sont soumis à des coûts, comme celle de la perte de privacy ; se faire connaître oblige, notamment, à sacrifier une partie de sa vie privée afin d'attirer des connexions[22]. Toujours d'après Antonio Casilli, « aucune des données partagées n'est privée ou publique, elle représente en quelque sorte un signal que les usagers envoient à leur environnement (ici, les membres de leurs réseaux personnels en ligne), afin de recevoir un retour (feedback) dudit environnement »[21]. La privacy est alors basée sur la recherche d'un accord entre plusieurs parties ; les acteurs sont prêts à confronter leurs intérêts et à faire des concessions mutuelles en termes de dévoilement d'informations potentiellement intimes. La confidentialité, l'intimité et la privacy ne dépendent pas uniquement de caractères propres à l'individu mais deviennent contextuelles et donc sujettes à concertation collective[21].
Données anonymisées
En Europe, les données ayant été l'objet d'un procédé d'anonymisation ne sont pas considérées comme des données à caractère personnel. Selon le considérant 26 du règlement général sur la protection des données, « il n'y a […] pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche ».
Néanmoins il faut différencier les données "réellement anonymisées" et les données "pseudo-anonymisées (utilisant une code de référence "confidentiel") qui sont fréquemment utilisées dans des domaines comme la recherche médicale. Les données "pseudo anonymisées (ou codées) restent des données personnelles et sont donc cadrées par la réglementation des données personnelles.
En revanche, la collecte de données à caractère personnel, même si celles-ci sont immédiatement anonymisées, reste un traitement de données soumis aux principes de la protection des données.
Plusieurs études ont montré que les techniques habituelles d'anonymisation sont parfois mise en défaut. Ainsi, des données médicales anonymisées (visites d'hôpitaux, consultations médicales) d’employés de l’État du Massachusetts ont été « ré-identifées » en les croisant avec les listes électorales d'une même ville. Le gouverneur même de l’État a pu être ré-identifié, seules six personnes partageant la même date de naissance dont trois de sexe masculin, et, parmi ces dernières, une seule partageait le même code postal, sur un total de 54 000 résidents et sept codes postaux[23]. L'efficacité de l'anonymisation est aussi fonction de la granularité de l'information, car sur des petits échantillons ou dans le cas de granularité très fine allant jusqu'à quelques individus, l'anonymisation devient inexistante.
Plus récemment, une étude de chercheurs du MIT a montré que quatre points géolocalisés étaient suffisants pour identifier 95 % des individus dans une base de données téléphoniques de 1,5 million de personnes[24].
Données de connexion
Ce sont les métadonnées associé à une connexion. Pour ceux qui y ont accès, elles permettent de localiser des terminaux (téléphones, ordinateurs…) et elles renseignent sur les accès de ces terminaux aux réseaux ou aux services de communication en ligne ; elles renseignent aussi sur l'acheminement des communications électroniques (téléphone, internet)[25] et sur l'identification et l'authentification d'un utilisateur, d'une connexion, d'un réseau ou service de communication. Elles renseignent enfin aussi sur le terminal et sur les données de configuration de ses logiciels[25].
Les données à caractère personnel, par la valeur économique potentielle qui résulte de leur exploitation, font partie de l'actif immatériel d'une entreprise, et sont au cœur de ce que d'aucuns ont nommé, y compris au niveau institutionnel, « l'économie de la donnée »[28]. Plusieurs modèles économiques s'appuient sur l'exploitation de données personnelles parmi lesquels ceux consistant à fournir des services gratuits en échange des données fournies par leurs utilisateurs, qui sont exploitées pour l'essentiel à des fins de personnalisation marketing et ciblage comportemental[29].
Des scandales récents (notamment Facebook-Cambridge Analytica) ont aussi montré l'utilisation des données personnelles à des fins politiques afin d'influencer directement ou indirectement les choix politiques des électeurs lors d'élections majeures.
En outre, les données à caractère personnel produites par les collectivités ou les administrations, qui font préalablement l'objet d'un procédé d'anonymisation, peuvent être diffusées à des fins d'intérêt général dans le cadre de politiques d'ouverture des données publiques.
Dans certains cas, l'exercice des droits offerts aux personnes concernées par le droit de la protection des données suscite des conflits avec d'autres libertés fondamentales, telles que la liberté d'expression ou le droit à l'information, notamment lors de la mise en œuvre du droit à l'oubli.
Cas Google
Si les fuites de données personnelles relèvent parfois de piratage par des entités extérieures, il arrive également que celles-ci soient volontaires de la part de leurs détenteurs, au risque de pénaliser les utilisateurs. En août 2014, un utilisateur de la messagerie Gmail a été dénoncé aux autorités locales par Google à la suite de l’envoi d’une photo pédopornographique en pièce-jointe d’un mail[30]. Or, Google le dit clairement dans ses conditions d’utilisation : « Nos systèmes automatisés analysent vos contenus (y compris les e-mails) afin de vous proposer […] Cette analyse a lieu lors de l'envoi, de la réception et du stockage des contenus »[31].
Si nul ne peut contester le bien fondé de cette action, ce fait divers met en lumière le contrôle massif des échanges effectué par Google. Cette méthode entre par ailleurs en contradiction avec l’article 29 de la CNIL qui stipule que : « L'accès à des données à caractère personnel aux fins de sécurité n'est pas acceptable dans une société démocratique dès lors qu'il est massif et sans condition. La conservation, l'accès et l'utilisation de données par les autorités nationales compétentes doivent être limitées à ce qui est strictement nécessaire et proportionné dans une société démocratique. Elles doivent être soumises à des garanties substantielles et effectives »[32].
La première loi relative au traitement automatisé des informations nominatives est votée par le Landtag de Hesse, en 1970[33]. La première loi nationale de protection des données personnelles est la Datalagen suédoise du 11 mai 1973[34].
L'article 1 de la loi informatique et liberté énonce que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ». Les différents instruments juridiques existant en la matière énoncent un ensemble de principes que le responsable d'un traitement de données à caractère personnel doit respecter afin de protéger les droits fondamentaux de la personne concernée, laquelle bénéficie de droits lui permettant de conserver le contrôle sur ses données.
Droit de la protection des données à caractère personnel
Chine
Depuis 2012 et une « décision » du Comité permanent de l’ANP appelant au renforcement la protection des données issues d’internet et proposant une première définition des « données personnelles », des dispositions liées à la protection de ces dernières ont infusé de nombreux textes, notamment sectoriels, jusqu’à 2017 et l’édiction de la loi sur la cybersécurité (CSL, 2017), sorte de loi-cadre depuis complétée par une multitude de textes. Parmi ces deniers : (1) un standard (Personal Information Security Specification ou « PISS ») théoriquement volontaire mais largement obligatoire dans la pratique, et qui précise les mesures à prendre en matière de collecte, stockage, utilisation, partage, transfert et publication de données personnelles (mai 2018) ; (2) un projet de nouvelle règlementation encadrant les transferts transfrontaliers de données personnelles (juin 2019)[35].
L’ensemble de ce dispositif juridique et règlementaire est largement inspiré du RGPD[36]. Bien que le RGPD soit souvent à la fois plus global et précis, et qu’il procède d’un point de départ différent (protection des droits individuels, alors que la CSL insiste sur la sauvegarde de la sécurité nationale), les deux régimes se rejoignent sur de nombreux points, dont notamment les suivants : (1) la nécessité d’obtenir le consentement de l’utilisateur préalablement à la collecte de ses données (la loi chinoise sur la cybersécurité requiert même un consentement « explicite ») ; (2) certains principes comme la minimisation de l’information recueillie relativement à l’objectif recherché ; la minimisation de la durée de stockage, etc. ; (3) le droit des utilisateurs d’accéder aux données, et de demander leur correction ou suppression ; (4) la limitation du partage des données à des tiers (PISS ne l’autorise qu’en cas de « nécessité » et à condition que le destinataire soit en mesure d’en assurer la sécurité) ; (5) l’adoption d’une approche contractuelle pour les transferts transnationaux de données personnelles[37].
Des différences notables demeurent toutefois. Dans certains cas, le droit chinois se révèle être plus contraignant que le RGPD. Ainsi : (1) la loi sur la cybersécurité prévoit des sanctions pouvant aller jusqu’à dix fois le montant des bénéfices réalisés du transferts transfrontaliers font l’objet de contrôles plus stricts en Chine : l’utilisateur doit en avoir été informé et avoir consenti à toute sortie de données sensibles, un rapport d’évaluation du risque doit avoir été soumis et approuvé par les autorités, etc. ; (2) en matière de sécurisation des données personnelles, le corpus chinois est beaucoup plus prescriptif concernant les moyens à mettre en œuvre ; audit et formation annuels, mise en place de plans d’urgence, création d’un poste de « data security officer » à temps plein dans les organisations réunissant certains critères, notification de toute faille de sécurité aux autorités, etc. Toutefois, le « droit à l’oubli » n’est pas reconnu comme tel en Chine et la suppression des données sur demande des utilisateurs est soumise à plusieurs conditions (absence de consentement, collecte ou utilisation illégale, etc.) telles qu’édictées dans le standard « PISS ». En outre, il n’existe aucune autorité spécifique chargée de la protection des données personnelle, alors même que les opérateurs de réseau et les fournisseurs de services se voient requis de partager les données recueillies avec leurs administrations de tutelles et les organes de sécurité publique[37].
En l’absence de canal effectif permettant aux citoyens de faire valoir leurs droits, la mise en œuvre de ce corpus de textes se fait principalement à l’initiative du gouvernement et demeure très imparfaite. Une première « campagne » a visé les géants chinois du numérique : Alibaba, Tencent, Sina, Baidu, etc., tour à tour inspectés. En 2018, l’accent a été mis sur les comportements criminels et malveillants (vol, vente de données personnelles), sous la houlette du Ministère de la sécurité publique. Puis, en 2019, sur les applications de téléphonie mobile les plus populaires pour évaluer si ces dernières récoltaient des données illégalement ou en quantités excessives. Des sanctions financières et pénales sont prévues mais, la plupart du temps, les entreprises se voient sommées de mettre en œuvre des mesures correctives et, dans certains cas, des applications sont mises hors ligne. La mise en œuvre reste en grande partie réalisée de manière verticale, sur initiative des autorités publiques. De cette logique de campagne découle mécaniquement une mise en œuvre d’intensité variable dans le temps, selon les acteurs et les secteurs. Le droit est, en outre, susceptible d’être adapté aux circonstances et aux intérêts supérieurs de l’État. À titre d’exemple : en février 2020, afin de lutter contre l’épidémie de COVID-19, le gouvernement chinois a généralisé le recours à des solutions de pistage des individus potentiellement atteints développées par Tencent et Alibaba. Selon le New York Times, l’application d’Alibaba partageait automatiquement les données avec la police sans en avertir les utilisateurs[38].
États-Unis d'Amérique
Ces données peuvent être vendues, si la personne concernée n'exprime pas explicitement son désaccord. C'est par exemple le cas des données des logiciels de paie[39].
France
Le droit positif français de la protection des données à caractère personnel consiste en la loi informatique et libertés modifiée, laquelle assure la transposition de la directive 95/46/CE. Le 25 mai 2018 le Règlement général sur la protection des données est entré en application dans toute l'Union européenne, puis qu'il s'agit d'une norme d'application directe, ne nécessitant pas d'être transposé. Cela dit, un projet de loi a été présenté en Conseil des ministres le 13 décembre 2017[40] afin d'adapter la loi informatique et libertés aux dispositions de ce Règlement, notamment en ce qui concerne les choix nationaux autorisés par les nombreuses clauses d'ouvertures présentes dans le texte communautaire (âge minimum pour consentir au traitement, régime des données sensibles…).
En synthèse, le droit de la protection des données à caractère personnel impose au responsable du traitement de ces données de respecter les principes suivants :
Licéité de la collecte et du traitement
Limitation des finalités, lesquelles doivent être explicites et légitimes
Minimisation des données collectées au regard des finalités
Exactitude des données
Limitation de la durée de conservation à celle nécessaire à l'accomplissement des finalités
Sécurité et confidentialité des données
Les personnes concernées disposent de droits à l'information, à la rectification voire à l'effacement des données (parfois nommé « droit à l'oubli » ou « au déréférencement »), de s'opposer ou de limiter le traitement, et, avec le Règlement, du droit d'exiger la portabilité des données (on parle alors de « droit à la portabilité »).
Suisse
La Loi fédérale sur la protection des données du 19 juin 1992 (dans son état au 1er janvier 2011) a mis en place une protection très stricte de la vie privée en interdisant pratiquement tout traitement de données non explicitement autorisé par la personne intéressée[41]. Il est en particulier prescrit que :
le traitement de données personnelles doit être effectué conformément aux principes de la bonne foi et de la proportionnalité ;
les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte ;
la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée :
lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.
En sus, tout particulier peut demander par écrit à une entreprise (gérant un fichier) la rectification ou la suppression des données le concernant[42]. L'entreprise doit répondre dans les trente jours[42].
La Commission Nationale de l'Informatique et des Libertés est l'autorité administrative indépendante chargée de l'application de la loi informatique et libertés, et du respect des droits des personnes. Pour ce faire, elle accompagne les responsables de traitement, informe les personnes concernées de leurs droits, reçoit et instruit les plaintes qui peuvent conduire à des sanctions.
Évolution de la protection juridique
L'intégrité numérique est une notion juridique émergente dont l'objectif est d'aboutir à une meilleure protection des données en garantissant le droit à l’autodétermination informationnelle. Introduit au sein des droits fondamentaux, le droit à l’intégrité numérique est proposé comme justification de l’ensemble des droits numériques dont celui de la protection des données.
Nature juridique
Question d'un droit de propriété sur les données à caractère personnel
Les modes de collecte se sont particulièrement diversifiés avec les technologies numériques. Ces modes peuvent aller de la collecte d'informations via un formulaire rempli volontairement par les individus, jusqu'à l'enregistrement de traces (habitudes de navigation, localisation géographique de l'adresse de connexion, sites consultés, relations établies avec des individus ou des réseaux, etc.).
Les modes d'exploitation peuvent être le fait des individus eux-mêmes, par recherche d'informations à l'aide d'un moteur de recherche ou sur les réseaux sociaux en ligne, ou bien le fait d'organisations : marketing ciblé, fichage des populations par l'État, envoi massif de courriels non sollicités à caractère commercial (pourriels), etc.[44],[45]. Le modèle économique des acteurs majeurs du Web (Google, Amazon) et des réseaux sociaux (Facebook, Twitter) repose en grande partie sur l'exploitation des données personnelles des utilisateurs[46].
Pierre Bellanger suggère en 2014 la création d'un droit de propriété : celui de sa trace numérique sur les réseaux. Ce droit supposerait que toute captation ou traitement des données provenant d'un citoyen européen réponde du droit européen, mais de surcroît que toute exportation de ces données hors de l'Union soit assujettie à une taxe : la « dataxe »[45],[47].
L'AFAPDP[48], l'association des autorités de protection de données, réfute la création d'un tel droit de propriété. Le 18 octobre 2018, l'association, réunie en assemblée à Paris, vote une résolution déclarant que « les données à caractère personnel sont des éléments constitutifs de la personne humaine, qui dispose, dès lors, de droits inaliénables sur celles-ci ». Cette résolution avait été proposée par la CNIL[49].
Atteintes aux données à caractère personnel
Le partage et la fuite de données à caractère personnel constituent des atteintes à la sécurité et à la confidentialité des données, qui peuvent avoir d'importantes répercussions pour les personnes concernées. Celles-ci sont toutefois fréquentes :
Dropbox : site permettant de stocker ses fichiers et documents en ligne a vu 68 millions de mots de passe et d'identifiants utilisateurs volés en 2016. La faille de sécurité avait été signalée en 2012[50].
Myspace : plusieurs centaines de millions de comptes dont 427 millions de mots de passe ont été mis en vente sur un site spécialisé dans le recel de données volées[51].
LinkedIn : plus de cent millions d’identifiants et mots de passe sont mis en vente en ligne en 2016. Ces données auraient été volées en 2012[52].
Ebay : en 2014, l’une des bases de données de l'entreprla reconnaissance faciale et de plaque d'immatriculatiise a été forcée entre la fin de février et le début de mars, et des informations non financières de la clientèle ont été volées. À la suite de cette violation de données, l'entreprise a demandé à 145 millions d’utilisateurs de changer de mot de passe[53].
Domino’s Pizza : ayant refusé de payer une rançon de 30 000 €, les données d’environ 650 000 clients français et belges ont été rendues publique en novembre 2014. Parmi les informations recueillies, les noms des clients, leur adresse, les instructions de livraison et mots de passe[54].
La Banque Centrale Européenne : en 2014, la BCE est victime d’une cyberattaque sur son site internet. Elle annonce le vol de 20 000 adresses e-mails ainsi que les adresses postales et numéros de téléphones liés. Ces données étaient sauvegardées sans être encryptés, contrairement à d’autres informations stockées dans la même base de données[55].
Orange : l’opérateur téléphonique français reconnaît le 6 mai 2014 un nouveau vol de données personnelles de 1,3 million de clients et de prospects, trois mois après une intrusion qui avait touché près de 800 000 d’entre eux. Une intrusion détectée le 18 avril a permis de dérober les noms, prénoms, et, quand ils étaient renseignés, l’adresse e-mail, les numéros de téléphone mobile et fixe et la date de naissance des utilisateurs[56]. L’opérateur s’est engagé par la suite à prévenir les utilisateurs concernés pour limiter les risques d'hameçonnage, l’envoi d’e-mails frauduleux à escroquer ou à voler les données de leurs destinataires.
Facebook : le réseau social partage les données de ses utilisateurs avec 60 fabricants de smartphones ; elles portent sur les amitiés entretenues, le statut marital, les opinions politiques, ainsi que la participation à un événement sans le savoir[57]. Une fuite de données personnelles concernant 540 millions d'utilisateurs de Facebook est établie le 4 avril 2019[58]. En décembre de la même année, une autre fuite concerne 267 millions de ses utilisateurs[59].
Clearview AI fait l'objet de plusieurs controverses et procédures judiciaires vis-à-vis des milliards d'images qu'elle a collectées sur Internet mettant en jeu les données personnelles portant atteinte à la vie privée[60],[61],[62],[63],[64],[65],[66],[67].
IQVIA : l’entreprise américaine IQVIA qui noue un partenariat avec 14 000 pharmacies françaises, stocke et traite des données de santé de clients de pharmacies en France. La CNIL qui avait donné un accord, lance une enquête et des contrôles[68],[69],[70],[71].
↑ ab et cEric Favereau, « Polémique sur la déclaration obligatoire de la séropositivité », Libération, 31 janvier 1998 [lire en ligne].
↑Eric Favereau, « Sida: les femmes de plus en plus touchées. La déclaration (obligatoire et anonyme) de la séropositivité est toujours à l'ordre du jour », Libération, 17 novembre 1997 [lire en ligne].
↑Pour la procédure législative en 1999, voir le 20e rapport de la CNIL (année 1999), chap. V.
↑CNIL, Délibération no 99-042 du 9 septembre 1999.
↑Définition donnée par Ayse Ceyhan lors du séminaire IHEJ/Esprit du 20 mars 2006, Antoine Garapon et Michaël Foessel, « Biométrie : les nouvelles formes de l'identité », Esprit n°8, , p. 165-172 (ISSN0014-0759).
↑Anne Debet, Jean Massot et Nathalie Métallinos, Informatique et libertés : la protection des données à caractère personnel en droit français et européen, Issy-les-Moulineaux, Lextenso, , "La biométrie", p. 1095.
↑ abc et dAntonio A. Casilli, « Contre l'hypothèse de la « fin de la vie privée ». La négociation de la privacy dans les médias sociaux », Revue française des sciences de l’information et de la communication, no 3, (ISSN2263-0856, DOI10.4000/rfsic.630, lire en ligne, consulté le )
↑Antonio Casilli, 'Petites boîtes’ et individualisme en réseau. Les usages socialisants du web en débat., Paris, Annales de l’École des Mines - Réalités Industrielles, , 216 p., p. 54-59
↑Commission Européenne, Communication de la Commission au Parlement Européen, au Conseil, au Comité Économique et Social Européen et au Comité des Régions, Vers une économie de la donnée prospère, Bruxelles, 2 juillet 2014, COM (2014) 442 final, http://ec.europa.eu/transparency/regdoc/rep/1/2014/FR/1-2014-442-FR-F1-1.Pdf.
↑Simon Chignard et Louis-David Benyayer, Datanomics : les nouveaux business models des données, Paris, FYP éditions, , 158 p. (ISBN978-2-36405-124-9).
↑Aude Deraedt, « Aux États-Unis, Google dénonce un pédophile qui utilisait Gmail », Libération, (lire en ligne, consulté le )
↑(en-US) Paul Mozur, Raymond Zhong et Aaron Krolik, « In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags », The New York Times, (ISSN0362-4331, lire en ligne, consulté le )
↑(en) Samuel Gibbs, « Dropbox hack leads to leaking of 68m user passwords on the internet », The Guardian, (ISSN0261-3077, lire en ligne, consulté le ).
↑(en) Sarah Perez, « Recently confirmed Myspace hack could be the largest yet », TechCrunch, (lire en ligne, consulté le ).
↑Vincent Hermann, « LinkedIn : la fuite de 2012 plus large que prévu, nouvelle vague de réinitialisations », Next Inpact, (lire en ligne, consulté le ).
↑(en-GB) Jane Wakefield, « eBay faces investigation over breach », BBC News, (lire en ligne, consulté le ).
Nicolas Ochoa, Le droit des données personnelles, une police administrative spéciale, thèse, 2014, Paris 1, disponible en suivant le lien https://tel.archives-ouvertes.fr/tel-01340600
Collectif, Informatique et Libertés. La protection des données à caractère personnel en droit français et européen, LGDJ, Intégrales, 16 juillet 2015, (ISBN978-2359710939).
Collectif, Règlement européen sur la protection des données: Textes, commentaires et orientations pratiques, Bruylant Édition, 10 janvier 2018, (ISBN978-2802759676).
Ludovic Coudray, La protection des données personnelles dans l'Union européenne: Naissance et consécration d'un droit fondamental, Éditions Universitaires Européennes, 4 mai 2010, (ISBN978-6131502699).
Guillaume Desgens-Pasanau, La Protection des données à caractère personnel, publié chez Litec LexisNexis, collection Carré Droit, septembre 2012, (ISBN2711016838)